МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практическому заданию № 12
по дисциплине «Основы информационной безопасности»
Тема: Спецификация объекта защиты и среды безопасности
Студент гр.
Преподаватель
Санкт-Петербург
2023
Цель: Изучение вида работ по спецификации объекта защиты.
ОБЩИЕ ПОЛОЖЕНИЯ
Данная модель угроз безопасности разработана для компании
«Фирма-01» (НТР). Данный документ предназначен для определения уровня защищенности ИСПДН. Он документирует риск (ущерб), негативные последствия, нарушителей и сценарии реализации угроз.
СПЕЦИФИКАЦИЯ ОБЪЕКТА
1. Описание объекта.
Компания Фирма-01 – компания, предоставлющая услуги хранения и обработки данных.
Штаб-квартира компании расположена по адресу: Российская Федерация, 123100, г. Грозный, Проспект Путина, д. 9.
2. Доступ на объект
Въезд (выезд) транспортных средств на территорию охраняемого
(защищаемого) объекта осуществляется через КПП. Порядок прохода через них рабочих и служащих для выполнения возложенных обязанностей определяется Инструкцией. Проход контролируется охранником, у работников есть пропуска, а для обычных, не работающих здесь, людей, которые пришли,
например, на собеседование выдают одноразовый пропуск. Проход оснащен камерами видеонаблюдения.
2
3. Персонал объекта
В компании работает около 13 постоянных сотрудников, в их числе:
начальники отделов, шахтеры, бухгалтеры, менеджеры, системные администраторы.
4. Технические характеристики объекта
На предприятии 13 рабочих мест, каждое из которых оснащено нужным оборудованием. Компьютеры соединены в локальную сеть, посредством которой можно передавать файлы, содержащие различные данные. Также все компьютеры подключены к сети Интернет. Компьютеры соединены ethernet-
кабелями. Кроме того, стоят Wi-Fi-маршрутизаторы для личного пользования сотрудниками.
В одном из кабинетов находится серверная баз данных, оборудованная системой бесперебойного питания. Предприятие оснащено принтерами и проекторами. Здание находится под охраной камер видеонаблюдения.
5. Безопасность объекта
Физическая безопасность объектов в главном офисе осуществляется с помощью камер видеонаблюдения (СВК), системы пропусков с охраной
(СКУД), системы пожарной и охранной сигнализации (СПС, СОС). Проходная состоит из пешеходной части с турникетом и бюро пропусков. Безопасность на складах обеспечивается с помощью систем контроля и пропуска приезжающих и находящихся на складе машин, и водителей.
Информационную безопасность обеспечивают инженеры по ИБ с помощью алгоритмов шифрования, надежных паролей и систем защиты
(например, антивирусов).
3
6. Правила доступа к сетям и устройствам на предприятии
Работники имеют доступ только к своему компьютеру (за исключением тех. экспертов) и исключительно к тем документам, которые необходимы им для работы. Все документы передаются между сотрудниками по локальной сети либо на переносных цифровых носителях. Доступ разграничивается с помощью межсетевых экранов.
7. Описание структуры и оценка защищенности компании
Компания расположена в Южной части Российской Федерации в г. Грозный, в относительно спокойных метеорологических, сейсмических и гидрологических условиях, не имеющая в непосредственной близости предприятий, и других техногенных сооружений. Наименование систем и сетей, для которых разработана модель угроз безопасности информации: «Фирма-01»
Основные процессы (бизнес-процессы), для обеспечения которых создаются (функционируют) системы и сети: контроль исполнения всех пунктов контракта обеими сторонами, структурирование данных о поставщиках, оборудовании и персонале.
8. Определение класса ГИС
В компании «Фирма-01» обрабатывается конфиденциальная информация о клиентах и сотрудниках.
Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной,
обрабатывается в бухгалтерском и административном сегментах компании.
4
Компания «Фирма-01» обрабатывает несколько видов информации:
персональные и обычные данные. Эта информация, обрабатываемая в компании, имеет высший уровень значимости (УЗ 2), так как для свойства безопасности информации определена средняя степень ущерба. Возможны умеренные негативные последствия в социальной, областях деятельности, кроме этого, в экономической и финансовой этот ущерб средний.
Информационная система, используемая в компании «Фирма-01», имеет локальный масштаб, так как она функционирует только на территории
охраняемой зоны
Уровень защищенности ГИС (К1, К2, К3) определяется в зависимости от уровня значимости информации обрабатываемой этой УЗ в ИС и масштаба ИС
После определения уровня значимости и масштаба системы класс вычисляется по таблице, представленной на рисунке 2.
Таким образом, на пересечении УЗ 3 и объектового масштаба находится класс защиты К3.
5
Рисунок 1 – Таблица для вычисления класса защиты ГИС
Таким образом, на основании проведённого анализа необходимо наличие ГИС класса защиты К2.
9. Определение типа ИСПДн
Информационная инфраструктура персональных данных предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов,
происходящих в производственно-хозяйственной деятельности предприятия.
Основными элементами базовой модели угроз безопасности персональных данных являются:
источник УБПДн – субъект, материальный объект или физическое явление, создающие УБПДн; Среда распространения ПДн или воздействий, в
которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства
(конфиденциальность, целостность, доступность) ПДн;
6
носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов,
образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
«Фирма-01» располагает сегодня передовой современными системами,
которые помогают решать задачи любой сложности. В работе активно используют нейронные сети и машинное обучение. Информационные системы функционально разделены по направлениям:
•Автоматизация и управление;
•Обслуживание инфраструктуры.
Определение класса защищенности информационных систем,
обрабатывающих персональные данные:
• Определение категории обрабатываемых персональных данных: т. к.
перечень специальных данных отсутствует (т.е. нет данных о религиозных взглядов, политики и т. д.), сервер безопасности, который хранит биометрические сведения также отсутствует значит ИСПДН-Б нет, сама
Фирма-01 не относится к государственным общедоступным системам, значит,
это не ИСПДН-О. Следовательно это ИСПДН-И;
• Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 – одновременно обрабатываются данные около 2 000 субъектов персональных данных в пределах конкретной организации;
Исходя из классификации, выделим наиболее актуальные угрозы для компании в межсетевом взаимодействии.
1. Анализ сетевого трафика В ходе реализации угрозы нарушитель изучает логику работы сети – то
есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления
7
данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней.
2. Сканирование сети.
Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
3. Внедрение ложного объекта сети.
Актуальные угрозы безопасности информации.
При разработке описаний возможных угроз безопасности информации учитывались:
1)актуальные нарушители и уровни их возможностей;
2)объекты воздействия, находящиеся в составе Университета;
3)основные способы реализации угроз безопасности информации;
4)возможные негативные последствия реализации угроз.
Исходя из отчета, можно определить, что требуется построить ИСПД Н уровня защищенности УЗ-2, для которой нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Определение уровня защищенности
Кугрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
Кугрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
Ктретьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
8
ИСПДН относится к категории ИСПДн-И, в компании есть собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищённости ИСПДн – УЗ 1.
10. КИИ
Субъекты критической информационной инфраструктуры –
государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ),
функционирующие в сфере здравоохранения, науки, транспорта, связи,
энергетики, банковской сфере и иных сферах финансового рынка, топливно -
энергетического комплекса, в области атомной энергии, оборонной, ракетно-
космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Компания «Фирма-01» производит действия по обработке и хранению информации является не особо критически важным, поскольку не содержит критически важных данных. Следовательно, необходимо определить категорию значимости. Ниже приведены таблицы, по которым определялась категория значимости.
9
Таблица 1 – Таблица-алгоритм определения класса защищенности
Вид |
Нарушаемое |
Характер |
Степе |
Категор |
Итогова |
опасност |
свойство |
чрезвычайной |
нь |
ия |
я |
и |
безопасности |
ситуации |
ущерб |
значимо |
категори |
|
|
|
а |
сти |
я |
|
|
|
|
|
значимо |
|
|
|
|
|
сти |
|
|
|
|
|
|
Сбой |
Целостность |
Локальных |
Средня |
2 |
КЗ 2 |
работы |
|
характер |
я |
|
|
|
|
|
|
|
|
техники |
Доступность |
Локальный |
Высока |
|
|
|
|
характер |
я |
|
|
|
|
|
|
|
|
|
Конфиденциаль |
Региональный |
Средн |
|
|
|
ность |
характер |
яя |
|
|
|
|
|
|
|
|
Утечка |
Целостность |
Межрегиональ |
Низк |
1 |
|
информа |
|
ный характер |
ая |
|
|
|
|
|
|
|
|
ции |
Доступность |
Межрегиональ |
Низк |
|
|
|
|
ный характер |
ая |
|
|
|
|
|
|
|
|
|
Конфиденциаль |
Межрегиональ |
Низк |
|
|
|
ность |
ный характер |
ая |
|
|
|
|
|
|
|
|
Таким образом, категория значимости относится к классу.
Вывод: в компании «Фирма-01» реализована защита по классу K3 ГИС,
по уровню защиты 2 ИСПДн-И. Бизнес-процессы компании относятся к
локально0критическим и имеют категорию значимости 1
10